一、概要

近日，華為云安全團(tuán)隊關(guān)注到業(yè)界爆出Fastjson遠(yuǎn)程代碼執(zhí)行漏洞新的利用方式， FastJson < 1.2.61的版本均受影響，攻擊者可通過精心構(gòu)造的請求包對使用Fastjson的服務(wù)器發(fā)起請求，獲取目標(biāo)服務(wù)器的權(quán)限，從而實現(xiàn)未經(jīng)授權(quán)的遠(yuǎn)程代碼執(zhí)行。

參考鏈接：

https://github.com/alibaba/fastjson/releases

https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、影響范圍

漏洞影響的產(chǎn)品版本包括：

Fastjson < 1.2.61

安全版本為：

FastJson 1.2.61

四、處置方案

目前官方已發(fā)布最新的1.2.61版本修復(fù)了此漏洞，請受影響的用戶升級至安全版本。

下載地址： http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.61/

漏洞的利用前提是開啟了autoType功能（默認(rèn)是關(guān)閉狀態(tài)），若用戶開啟了autoType功能，可通過關(guān)閉該功能進(jìn)行臨時規(guī)避，具體操作請參考以下兩種方法：

1、 在項目源碼中找到以下行代碼并將其刪除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中啟動項目時，命令行中不添加autoType參數(shù)。

-Dfastjson.parser.autoTypeSupport=true

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。